疑似來自羅馬尼亞、至少從 2020 年開始活躍的一個(gè)黑客團(tuán)伙正使用此前從未被記錄的 SSH 暴力破解器（使用 Golang 編寫），對使用 Linux 的設(shè)備發(fā)起加密劫持活動(dòng)。在成功入侵之后，就會部署門羅幣（Monero）惡意挖礦軟件。

來自 Bitdefender 的安全研究人員在上周發(fā)布的安全公告中表示，這款稱之為“Diicot brute”的密碼破解工具通過軟件即服務(wù)（software-as-a-service）模型進(jìn)行分發(fā)，每個(gè)威脅行為者都提供自己獨(dú)特的 API 密鑰以促進(jìn)入侵。

在遠(yuǎn)程攻擊成功之后除了部署惡意程序用于挖礦之外，該團(tuán)伙還連接了至少 2 個(gè) DDoS 僵尸網(wǎng)絡(luò)，包括一個(gè)名為 chernobyl 的 Demonbot 變體和一個(gè) Perl IRC bot，以及 XMRig 自 2021 年 2 月起托管在名為 mexalz[.]us 的域上的挖礦負(fù)載。

Bitdefender 表示于 2021 年 5 月開始調(diào)查該組織的敵對在線活動(dòng)，隨后發(fā)現(xiàn)了對手的攻擊基礎(chǔ)設(shè)施和工具包。該組織還以依靠一袋混淆技巧而聞名，這些技巧使他們能夠躲避安全軟件的審查。為此，Bash 腳本使用 shell 腳本編譯器 (shc) 進(jìn)行編譯，并且發(fā)現(xiàn)攻擊鏈利用 Discord 將信息報(bào)告回其控制的渠道，這種技術(shù)在惡意行為者中變得越來越普遍用于指揮和控制通信并逃避安全。

研究人員說：“黑客竊取弱 SSH 憑據(jù)的情況并不少見。安全方面最大的問題之一是默認(rèn)用戶名和密碼，或者弱憑據(jù)黑客可以通過蠻力輕松克服。棘手的部分不一定是蠻力強(qiáng)制這些憑據(jù)，而是以一種讓攻擊者未被發(fā)現(xiàn)的方式進(jìn)行操作”。

[超站]友情鏈接：

四季很好，只要有你，文娛排行榜：https://www.yaopaiming.com/
關(guān)注數(shù)據(jù)與安全，洞悉企業(yè)級服務(wù)市場：https://www.ijiandao.com/